ТВ сат клуб

Попри те, що форуми містили деякі обговорення етичного хакінгу, Cracked і Nulled головним чином функціонували як торгівельні майданчики для кіберзлочинців. Платформи надавали доступ до інструментів зламу, включаючи експлойти на основі штучного інтелекту та сканери вразливостей, “конфіги” для атак із використанням вкрадених облікових даних, що дозволяли проводити масові атаки методом перебору паролів, “комбо-листи” з викраденими іменами користувачів і паролями, а також шкідливе ПЗ, експлойти та зламане програмне забезпечення. Європол назвав ці форуми “універсальними майданчиками” для кіберзлочинів, де вони купували та продавали вкрадені дані, шкідливі програми та хакерські послуги.


В операції брали участь правоохоронні органи США, Італії, Іспанії, Франції, Греції, Австралії та Румунії. Під час рейдів було проведено обшуки у семи приміщеннях у різних країнах, вилучено понад 50 електронних пристроїв для судово-криміналістичної експертизи, конфісковано 300 000 євро готівкою та в криптовалюті, а також відключено 12 доменів, пов’язаних із платформами. Серед закритих сервісів були SellIX — фінансовий процесор, який використовувався для кіберзлочинних транзакцій, та StarkRDP — хостинг-провайдер Windows RDP, який рекламувався на форумах.

У рамках операції ФБР вилучило кілька доменів, зокрема cracked[.]io, nulled[.]to, starkrdp[.]io, mysellix[.]io та sellix[.]io. Агентство перенаправило домени на сторінки з повідомленнями про вилучення, розміщені на серверах, що перебувають під контролем ФБР. На захоплених сайтах з’явилося оголошення: “Цей вебсайт, а також інформація про клієнтів і жертв сайту були вилучені міжнародними правоохоронними партнерами”.

Bundeskriminalamt (BKA), Федеральне кримінальне управління Німеччини, підтвердило, що серед конфіскованих даних є адреси електронної пошти, IP-адреси та журнали спілкування користувачів форумів, які будуть використані для подальших міжнародних розслідувань. Двох заарештованих підозрюваних затримала Національна поліція Іспанії у Валенсії. Адміністрація Cracked.io підтвердила закриття в заяві на Telegram: “Тепер, коли всі мають більше ясності щодо ситуації, Cracked.io було вилучено в рамках операції Talent, конкретні причини поки не розкриваються. Дійсно сумний день для нашої спільноти”.

Ліквідація Cracked і Nulled стала однією з найбільших міжнародних операцій із припинення діяльності кіберзлочинних форумів останніх років і, ймовірно, суттєво вплине на підпільну хакерську спільноту.

По мнению экспертов компании, злоумышленник атаковал низкоквалифицированных хакеров (script kiddies – «кулхацкеров») с использованием поддельного билдера, или компилятора, вредоносной программы XWorm RAT. Это троянец для обеспечения удаленного доступа.

Жертвы очевидно мало смыслят в кибербезопасности и попросту скачивают что попало – вредоносы, рекламируемые через всякие сетевые ресурсы.


Устройства хакеров были заражены с помощью троянца, замаскированного под инструмент для создания вредоносных программ

Троянизированный XWorm RAT распространялся через репозитории GitHub, платформы файлового хостинга, каналы в Telegram и видео на Youtube. Во всех этих ресурсах троянизированный компилятор подавался как средство создания RAT-программ, за которые не надо платить. Попав на устройство жертвы, эта программа проверяет систему на предмет признаков виртуализации или отладочной среды. Если обнаруживаются свидетельствующие об этом процессы, программа прекращает функционировать. Если же система оказывается самой обычной, то вредонос вносит в системный реестр изменения, позволяющие ему перезапускаться после каждой перезагрузки. Зараженная система также регистрируется в командном сервере, базирующемся на платформе Telegram. Для этого используется фиксированный идентификатор и токен Telegram-бота.

Далее вредонос автоматически крадет токены Discord, сведения о системе, по IP-адресу определяет ее физическое месторасположение, отправляет всю эту информацию на контрольный сервер и ждет дополнительных команд от оператора. Всего поддерживается 56 команд: вредонос может попытаться выкрасть пароли, файлы cookie и информацию для автозаполнения форм из веб-браузера. Кроме того, он умеет перехватывать нажатия клавиш, делать скриншоты, останавливать определенные процессы (в том числе связанные с защитным ПО), выводить файлы определенных типов из системы. Вариант с самоудалением также предполагается. Самой же опасной, пожалуй, является способность шифровать любые файлы с использованием присланного с контрольного сервера пароля.

Недобитый ботнет

Эксперты CloudSEK обнаружили, что операторы вредоноса вывели данные приблизительно из 11% зараженных устройств.

Исследователям удалось нейтрализовать оформившийся ботнет с помощью фиксированных API-токенов в коде вредоноса, что обеспечило им возможность массово разослать циклическую команду на самоудаление по всем машинам, подключенным на тот момент к Сети, сопровождавшуюся перебором идентификаторов, извлеченных из логов Telegram.

Как отмечается в публикации, исследователи провели также брут-форс всех идентификаторов с 1 по 9999, используя простой численный паттерн. Это позволило нейтрализовать только часть ботнета, поскольку, во-первых, не все машины были онлайн в момент запуска команды, а во-вторых, алгоритмы Telegram ограничивают массовые рассылки, так что некоторые сообщения могли не дойти.

«Хакеры активно атакуют друг друга, это известно давно, – отмечает Никита Павлов, эксперт по информационной безопасности компании SEQ. – Ни о какой «цеховой солидарности» речи тут не идет, если есть, что украсть, попытки это сделать будут предприняты».

Эксперт добавил, что в данном случае оператор всей этой кампании мог действовать в том числе из желания проучить «хакеров-недоучек», хотя масштабы кампании и усилия по распространению вредоноса свидетельствуют о том, что ее оператор или операторы имели скорее практические цели.

В число клонированных и изменённых хакерами репозиториев вошли такие проекты как Codementor, CoinProperty, Web3 E-Store, менеджер паролей на основе Python, а также другие приложения, связанные с криптовалютой и web3, рассказали в SecurityScorecard. Когда жертва неосознанно загружала и устанавливала такое приложение-форк, на его машину также устанавливался бэкдор, позволяющий злоумышленникам подключаться к ней, похищать конфиденциальные данные и отправлять их на свои ресурсы. Участвующие в схеме Phantom Circuit управляющие (C2) серверы Lazarus Group, как выяснилось, начали работу ещё в сентябре — они использовались для связи с заражёнными системами, доставки вредносного ПО и копирования украденных данных. Экспертам так и не удалось выяснить, «как обрабатывались извлечённые данные, и какая инфраструктура использовалась для управления этим серверами».

Эксперты обнаружили скрытую административную систему, размещённую на каждом сервере — она обеспечивала централизованное управление атакой; система была написана с на основе React и Node.js. Чтобы скрыть происхождение кампании, хакеры Lazarus Group применяли многослойную обфускацию. Чтобы скрыть географическое происхождение, использовался VPN, а на прокси-уровне вредоносная активность смешивалась с безобидным сетевым трафиком. Серверы размещались в инфраструктуре Stark Industries — специалисты SecurityScorecard установили, что к ним подключались не менее чем с шести северокорейских адресов, один из которых ранее был связан с атаками Lazarus на платформу Codementor. Похищенные данные выгружались в облачное хранилище Dropbox.

Сайты функционировали, самое позднее, с 2020 г.

Предлагаемый инструментарий использовался в ходе ряда успешных атак на руководителей крупных компаний (BEC-атаках), что привело к ущербу в размере $3 млн.

В публикации Министерства юстиции США указывается, что на ресурсах Saim Raza продавались фишинговые наборы, шаблоны для мошеннических страниц, экстракторы электронной почты, а кроме того, предлагали обучающие видео (прямо на Youtube), объясняющие, как проворачивать мошеннические схемы, используя данный инструментарий. Следствием этого становилась доступность проведения этих атак даже для тех, кто практически не обладал техническими навыками, обычно ассоциируемыми с хакерским ремеслом.

Предлагавшиеся на маркетах инструменты могли использоваться и для массового сбора реквизитов доступа к системам потенциальных жертв.

По данным, озвученным полицией Нидерландов, на момент закрытия сервисами Saim Raza пользовались несколько тысяч человек.

Давнее дело

Первым о существовании группировки и ее ресурсов узнал и сообщил известный специалист по кибербезопасности Брайан Кребс (Brian Krebs) еще в 2015 г. Тогда эта группа обозначалась как The Manipulaters (sic!), и уже на тот момент контролировала сотни разных сайтов, через которые распродавала вредоносный инструментарий.

В прошлом, 2024 г., эксперты компании DomainTools.com сообщили, что часть систем, принадлежащих The Mаnipulaters, оказались нашпигованными сторонним вредоносным ПО в силу низкой цифровой грамотности самих участников группировки.

«В очередной раз приходится убедиться в коммодизации киберкриминала, — талант и знания в сфере цифровых технологий больше не имеют особого значения, вся нужная информация оказывается общедоступной» — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. «Фишинговые атаки теперь могут производить люди, не умеющие ни программировать, ни писать связные тексты, и даже распространением соответствующего инструментария занимаются малограмотные люди».

Эксперт добавил, что единственное, что удивляет, так это почему ресурсы этой группировки не прикрыли раньше.

Буквально на прошлой неделе стало известно о другой масштабной международной операции — Operation Talent, в результате которой была нейтрализована еще одна сеть киберкриминальных площадок, в том числе форумы Cracked.io и Nulled.io. Администратор одной из них был арестован.

По данным NCC Group, которые приводит Вleepingcomputer, 2024 г. стал годом наибольшего объема взломов с использованием вымогателей — 5,26 тыс. успешных атак.

Было не только больше предполагаемых жертв, но, по словам Аллана Лиски (Allan Liska), аналитика по разведке угроз в Recorded Future, в 2024 г. появилось 56 новых хакерских сайтов — это более чем вдвое больше, чем количество, выявленное Recorded Future в 2023 г.

Статистика последних лет, собранная Coveware, указывает на то, что готовность компаний платить злоумышленникам постоянно снижается с 2019 г.

Жертвы стали сопротивляться

Одной из причин такой тенденции назван рост «сопротивляемости» жертв требованиям выкупа. Менее половины зарегистрированных инцидентов привели к выплатам.

«По нашим данным, около 30% переговоров фактически заканчиваются выплатами или решением жертв заплатить выкуп. Как правило, эти решения принимаются на основе предполагаемой ценности данных, которые были конкретно скомпрометированы», — сказал Дэн Сондерс (Dan Saunders), директор по реагированию на инциденты в регионе EMEA в компании по реагированию на инциденты в сфере кибербезопасности Kivu Consulting.

По мнению Лиззи Куксон (Lizzie Cookson), старшего директора по реагированию на инциденты в Coveware, организации все чаще способны противостоять, они изучают несколько вариантов восстановления после атаки, так как поднялся общий уровень кибергигиены.

Во всех отраслях растет осведомленность о рисках, лежащих в основе атак программ-вымогателей, внедряются более эффективные методы и более жесткие меры защиты, вкладывается больше средств в кибербезопасность.

В России, например, по статистике сервиса HeadHunter, по итогам 2024 г. число открытых ИБ-вакансий подскочило на 17% год к году, достигнув 27,3 тыс. В SuperJob говорят о 50% росте.

Ряды мошенников редеют

Еще одна причина тенденции к снижению количества выплат мошенникам — активность правоохранительных органов.

Так, группа LockBit , деятельность которой была пресечена Национальным агентством по борьбе с преступностью (NCA) Великобритании и Федеральным бюро расследований США (ФБР) в начале 2024 г., столкнулась с сокращением платежей за II полугодие примерно на 79%. В создании LockBit Госдеп США обвинял россиян. Самые активные хакерские группировки на западе считают «русскими», например Clop, Killnet, LockBit.

Как сказала Куксон, «рынок так и не вернулся к прежнему статус-кво после краха LockBit и BlackCat/ALPHV». Текущая экосистема программ-вымогателей, объяснила она, наполнена множеством новичков, которые, как правило, сосредотачивают усилия на рынках малого и среднего размера, которые, в свою очередь, связаны с более скромными требованиями выкупа.

Доходы от программ-вымогателей снизились впервые с 2022 г., пишут специалисты Chainalysis. Хотя рекорд по сумме выкупа вымогателям был поставлен именно в 2024 г. — $75 млн получили хакеры из группировки Dark Angels. При том, что обычно суммы платежей в прошедшем году, по данным Куксон, составляли от $150-$250 тыс. независимо от первоначальных требований.

Отмывать деньги преступникам тоже становится сложнее. Меры, принимаемые властями разных стран в отношении криптовалютных миксеров и бирж, не соблюдающих законы, вынуждают злоумышленников хранить «заработанные» средства в личных кошельках из страха быть выслеженными и арестованными в процессе обналичивания.

обязательную маркировку звонков от организаций, вызовов с международных номеров и звонков, инициируемых с виртуальных АТС: на экране телефона пользователя будет отображаться соответствующая информация, подтверждающая, что звонок от сотрудника банка, а не мошенника;

предоставление абонентам сотовых операторов права отказаться от рекламных и спам-рассылок и звонков;

если абонент запросит код для идентификации в ЕСИА или попытается сменить ключ простой электронной подписи во время телефонного разговора, оператор обязан присылать такие SMS только после окончания вызова;

предоставление возможности госорганам, занимающимся оперативно-разыскной деятельностью и отвечающим за безопасность, получать по запросу сведения из информационных систем операторов связи;

введение запрета на ввоз, продажу, покупку, хранение и использование на территории России абонентских терминалов иностранных спутниковых систем, чья работа запрещена или ограничена в стране или Евразийском экономическом союзе; возможность досудебной блокировки сайтов, публикующих сведения о незаконной реализации и использовании таких устройств;

введение обязательной биометрической идентификации для оформления выписок из бюро кредитных историй и дистанционного оформления микрозаймов;

возможность введения запрета через «Госуслуги» на заключение договора на оказание услуг сотовой связи без личного присутствия онлайн;

банки, операторы связи, маркетплейсы, агрегаторы, социальные сети будут обязаны предоставить возможность пользователям установить авторизацию через биометрическую систему, использование такого способа авторизации должно быть добровольным.

В Минцифры подтвердили разработку совместно с заинтересованными ведомствами и отраслью комплекса мер по снижению случаев кибермошенничества, которые предполагается внедрить в 2025–2026 годах. По данным источника РБК, комиссия по законопроектной деятельности может рассмотреть пакет 10 февраля.

Эксперты отметили, что предлагаемые меры соответствуют общемировым тенденциям в сфере кибербезопасности. Ожидается, что они позволят значительно затруднить деятельность мошенников, но не стоит забывать, что злоумышленники постоянно адаптируются к новым условиям и разрабатывают новые способы обхода защитных механизмов.

25-летний житель Алабамы использовал атаку с подменой SIM-карты, чтобы переместить номер купленного им iPhone, на SIM-карту, которая связана с аккаунтом SEC в X. Каунсил также создал поддельное удостоверение сотрудника, который владел номером телефона и вёл аккаунт SEC в X. Таким образом злоумышленник выдал себя за владельца SIM-карты и обманул оператора связи AT&T.

С идентификацией жертвы Каунсилу помогали сообщники, которые позже оплатили его участие в атаке биткоинами.

Злоумышленник опубликовал поддельное сообщение главы SEC в январе 2024 года. Представитель X тогда заявил, что учётная запись ведомства не была защищена двухфакторной аутентификацией.

ФБР арестовало Каунсила в октябре. Следователи обнаружили на устройствах хакера ряд поисковых запросов: «подмена SIM-карты Telegram», «как точно узнать, нахожусь ли я под следствием ФБР» и «каковы признаки того, что вы находитесь под следствием правоохранительных органов или ФБР, даже если они с вами не связывались».

Суд вынесет приговор Каунсилу 16 мая 2025 года. Ему грозит максимальное наказание в виде пяти лет тюремного заключения.

Отрасли, на которые были нацелены DDoS-атаки в третьем и четвёртом кварталах 2024 года, отражают меняющиеся приоритеты злоумышленников. Доля DDoS-атак в технологической отрасли неуклонно растёт с 7% до 19% с третьего по четвёртый квартал 2023 года. Это связано с тем, что злоумышленники, совершающие DDoS-атаки, осознают масштабный разрушительный потенциал атак на технологические сервисы. Одна успешная атака может вывести из строя сервис, от которого зависят бесчисленные организации, что нанесёт значительный ущерб людям и бизнесу. Ещё одна причина, по которой технологические платформы стали чаще подвергаться DDoS-атакам, заключается в их огромной вычислительной мощности, которую злоумышленники могут использовать для усиления своих атак.

Игровая индустрия по-прежнему является наиболее уязвимой отраслью, хотя количество атак сократилось на 31% по сравнению с первым и вторым кварталами 2024 года. Сокращение количества атак может быть связано с несколькими факторами. Например, игровые компании усиливают защиту от DDoS-атак в ответ на продолжающиеся атаки, что может привести к уменьшению количества успешных атак. Другое объяснение заключается в том, что злоумышленники могут переключиться на другие ценные отрасли, такие как финансовые услуги, в которых количество атак увеличилось на 117%. Критически важные онлайн-сервисы этого сектора и его уязвимость к атакам с использованием программ-вымогателей делают его главной мишенью.

Андрей Сластенов, руководитель службы безопасности Gcore, прокомментировал: «Последний выпуск Gcore Radar должен стать тревожным сигналом для компаний во всех отраслях. Увеличивается не только количество и интенсивность атак, но и их масштабы: злоумышленники расширяют сферу своих атак, охватывая всё более широкий спектр отраслей. Компании должны инвестировать в надёжное обнаружение DDoS-атак, их смягчение и защиту, чтобы предотвратить финансовые и репутационные потери в результате атак».

Географическое распределение DDoS-атак

Согласно результатам Gcore, Нидерланды являются ключевым источником атак: на них приходится 21% атак на прикладном уровне и 18% атак на сетевом уровне. США занимают высокие позиции по обоим уровням, что отражает обширную интернет-инфраструктуру, которой могут воспользоваться хакеры.

Бразилия заняла заметное место в рейтинге стран по количеству атак на сетевом уровне — 14%. Растущая цифровая экономика Бразилии и развитые каналы связи делают ее новым источником атак. Китай и Индонезия также заняли заметное место, при этом в Индонезии наблюдается рост числа атак на прикладном уровне — 8%, что отражает более широкую тенденцию к росту числа атак в Юго-Восточной Азии.

Короткие, но мощные атаки продолжают иметь место

DDoS-атаки становятся короче по продолжительности, но не менее разрушительными. Самая продолжительная DDoS-атака в третьем и четвертом кварталах 2024 года длилась пять часов, что значительно меньше, чем 16 часов в первой половине года. Это свидетельствует о растущей тенденции к более коротким, но более интенсивным атакам. Такие «импульсные атаки» сложнее обнаружить, поскольку они могут сливаться с обычными всплесками трафика. Задержка с обнаружением дает злоумышленникам возможность нарушить работу сервисов до того, как сработает киберзащита.

Тенденцию к сокращению продолжительности DDoS-атак отчасти можно объяснить улучшением кибербезопасности. По мере ужесточения мер безопасности злоумышленники научились адаптироваться, проводя короткие атаки, предназначенные для обхода защиты. Короткая DDoS-атака также может служить дымовой завесой для сокрытия вторичной атаки, например, с использованием программ-вымогателей.